EU Zakon o veštačkoj inteligenciji (AI Act, Uredba (EU) 2024/1689) stupio je na snagu 1. avgusta 2024. godine, a njegove odredbe se primenjuju fazno — većina pravila za visokorizične sisteme primenjuje se od 2. avgusta 2026. godine, uz produžene prelazne rokove za pojedine kategorije sistema. Na preduzeća to stavlja konkretne, merljive zahteve koji se moraju ispuniti — a vreme za pripremu prolazi brzo. Usklađenost sa AI Act-om nije jednokratna aktivnost već kontinuirani program upravljanja koji mora biti ukorenjen u organizacionoj strukturi preduzeća. Ovaj priručnik pruža praktičan putokaz za kompanije koje žele sistematično pristupiti ovom izazovu. Ovaj tekst je informativnog karaktera i ne zamenjuje individualni pravni savet.
Korak 1: Inventura AI Sistema — Znati Šta Imate
Svaki program usklađenosti počinje sa kompletnom inventurom AI sistema koje preduzeće razvija, nabavlja ili koristi. Iznenađujuće veliki broj organizacija nema ovaj uvid — AI sistemi se nabavljaju i implementiraju na nivoima poslovnih jedinica bez centralnog evidentiranja.
Šta inventura treba da obuhvata:
Za svaki AI sistem ili AI-driven alat treba dokumentovati: naziv i verziju, dobavljača ili interni tim koji ga je razvio, poslovnu namenu i kontekst primene, kategorije korisnika koji su izloženi sistemu (zaposleni, klijenti, poslovni partneri, šira javnost), tipove podataka koji se obrađuju, geografsko poreklo i lokaciju sistema, te datum kada je sistem uveden.
Gde tražiti AI sisteme: Pored očiglednih AI aplikacija (chatbotovi, preporuke), preduzeća ne smeju zaboraviti: AI komponente unutar HR alata (selekcija kandidata, ocenjivanje performansi), AI u CRM sistemima (skoring kupaca, prediktivna analitika), AI u finansijskim sistemima (detekcija prevara, kreditna procena), AI u bezbednosnim sistemima (videonadzor, kontrola pristupa) i AI u analitičkim platformama.
Korak 2: Klasifikacija Rizika za Svaki Sistem
Sa inventurom u ruci, svaki sistem mora biti klasifikovan prema AI Act matrici rizika: neprihvatljivi rizik, visoki rizik, ograničeni rizik ili minimalni rizik.
Ključna pitanja za klasifikaciju:
Da li sistem donosi odluke koje materijalno utiču na živote, prava ili prilike fizičkih lica? Ovo je centralni kriterijum za identifikaciju visokorizičnih sistema.
Da li spada u neku od eksplicitno navedenih visokorizičnih kategorija iz Aneksa III AI Act-a: kritična infrastruktura, obrazovanje, zapošljavanje, socijalne usluge, finansijske usluge, bezbednost, pravosuđe?
Ko je subjekt odluke sistema — da li su to ranjive kategorije (deca, bolesnici, tražioci azila)?
Da li sistem komunicira sa fizičkim licem bez transparentnog obaveštavanja o AI prirodi interakcije?
Za sisteme gde postoji sumnja, preporučuje se konzervativnija klasifikacija i konsultacija sa pravnim i tehničkim ekspertima.
Korak 3: Analiza Jaza za Visokorizične Sisteme
Za svaki sistem klasifikovan kao visokorizičan, sledeći korak je analiza jaza (gap analysis) koja upoređuje trenutno stanje sa zahtevima AI Act-a:
Sistem upravljanja rizicima — da li postoji dokumentovani, tekući proces identifikacije i mitigacije rizika za ovaj sistem?
Standardi podataka — da li su skupovi za treniranje i testiranje dokumentovani? Da li su primenjene procedure za smanjenje biasa?
Tehnička dokumentacija — da li postoji kompletna dokumentacija u formatu koji zahteva AI Act (namena, tehničke karakteristike, performansni benchmarci, poznata ograničenja)?
Evidentiranje (logging) — da li sistem može automatski beležiti relevantne transakcije i odluke za potrebe naknadne analize?
Uputstvo za upotrebu — da li postoji jasno, razumljivo uputstvo namenjeno deployer-u/korisniku?
Nadzor čoveka — da li su implementirani mehanizmi koji omogućavaju efektivno nadgledanje i intervenciju?
Svaki identifikovani jaz postaje stavka akcionog plana sa rokovima i odgovornostima.
Korak 4: Interna Governance Struktura
Usklađenost sa AI Act-om zahteva jasnu unutrašnju raspodelu odgovornosti. Za preduzeća određene veličine i AI intenziteta, preporučeni modeli governance uključuju:
AI Compliance Officer (AICO) — analogno DPO (Data Protection Officer) funkciji iz GDPR-a (General Data Protection Regulation, Uredba (EU) 2016/679), ovo je osoba ili tim odgovorni za praćenje AI regulatornih zahteva, koordinaciju usklađivanja i komunikaciju sa regulatorima. U manjim preduzećima ovu ulogu može preuzeti postojeći compliance ili pravni tim.
AI Ethics/Risk Committee — međufunkcijski odbor koji odobrava uvođenje novih visokorizičnih AI sistema, prati performansne i etičke metrike postojećih sistema i donosi odluke o korektivnim merama.
AI Inventory Register — centralizovana baza podataka svih AI sistema, kontinuirano ažurirana i dostupna compliance i pravnom timu.
Interna politika odgovorne upotrebe AI — dokument koji definiše koji AI sistemi smeju i ne smeju biti korišćeni, pod kojim uslovima i uz koje zaštitne mere. Ovaj dokument mora biti dostupan svim zaposlenima.
Korak 5: Dokumentacija i Tehnički Zahtevi
Za visokorizične AI sisteme, AI Act zahteva specifičnu tehničku dokumentaciju koja mora biti sačinjena pre puštanja sistema u promet:
Sadržaj tehničke dokumentacije: Opšti opis sistema i njegove namene; detaljno objašnjenje logike i algoritama; opis skupova podataka korišćenih za treniranje, validaciju i testiranje; opis mera upravljanja rizicima; benchmarci performansi, preciznosti i robustnosti; poznata ograničenja i uslovi pod kojima sistem može podbaciti; opis mehanizama za nadzor čoveka; opis procedura za monitoring sistema u produkciji.
Ova dokumentacija mora biti čuvana i ažurirana tokom čitavog životnog ciklusa sistema. Nadležni organi mogu zahtevati uvid u dokumentaciju, a njena odsutnost ili nekompletnost može biti sankcionisana.
Korak 6: Etičke Smernice i Odgovorna AI Praksa
Usklađenost sa AI Act-om nužan je ali ne i dovoljan uslov za odgovornu AI praksu. Preduzeća koja žele da budu ne samo zakonski usklađena već i poverenja vredna prema korisnicima, klijentima i javnosti treba da donesu etičke smernice za upotrebu AI koje idu dalje od minimalnih zakonskih zahteva.
Ključni principi etičkih smernica koje preporučuju EU institucije, uključujući Smernice za pouzdanu veštačku inteligenciju (Ethics Guidelines for Trustworthy AI) Ekspertske grupe visokog nivoa za veštačku inteligenciju Evropske komisije (AI HLEG) iz 2019. godine, uključuju:
Transparentnost i objašnjivost — korisnici treba da budu obavešteni kada interaguju sa AI sistemima i treba da mogu razumeti osnovu za automatske odluke koje ih se tiču.
Pravednost i nediskriminacija — AI sistemi ne smeju reprodukovati ili pojačavati diskriminatorne obrasce na osnovu zaštićenih karakteristika.
Privatnost i zaštita podataka — obrada podataka u AI sistemima mora biti minimalna, neophodna i usklađena sa GDPR-om.
Sigurnost i robustnost — AI sistemi moraju biti projektovani da bezbedno funkcionišu u realnim uslovima, uključujući edge cases i pokušaje manipulacije.
Dobrobit korisnika — AI ne sme biti korišćen za manipulaciju ili eksploataciju korisnika.
Korak 7: Kontinuirani Monitoring i Ažuriranje
AI compliance nije jednokratan projekat — to je tekući program. Preduzeća moraju uspostaviti procedure za:
Redovni pregled AI inventure i ažuriranje klasifikacija u svetlu novih sistema ili promena namene postojećih.
Monitoring performansi i potencijalnog biasa visokorizičnih sistema u produkciji.
Praćenje evolucije regulatornog okvira — AI Act je praćen delegiranim aktima, tehničkim standardima i interpretativnim smernicama koji se kontinuirano razvijaju.
Prijavljivanje ozbiljnih incidenata nadležnom organu u skladu sa predviđenim procedurama.
Česta pitanja (Q&A)
Mora li svako preduzeće koje koristi AI biti usklađeno sa AI Act-om? Ne automatski. Preduzeća koja koriste isključivo AI sisteme minimalnog rizika (spam filtere, preporuke u e-commerce) ne podležu posebnim AI Act obavezama. Obaveze nastaju za visokorizične sisteme i, u pogledu transparentnosti, za sisteme ograničenog rizika. Ključno je izvršiti klasifikaciju pre nego što se zaključi o relevantnosti propisa.
Kako SME (mala i srednja preduzeća) mogu ispuniti zahteve AI Act-a bez velikih resursa? AI Act predviđa određene olakšice za SME u pogledu složenosti dokumentacije i administrativnih zahteva, ali ne i izuzeće od suštinskih obaveza. Praktičan pristup za SME: fokusirati se na primenu gotovih, sertifikovanih AI sistema renomiranih provajdera umesto razvoja sopstvenih; koristiti standardne šablone dokumentacije i compliance alate koji se razvijaju na tržištu; razmotriti zajedničke compliance resurse unutar poslovnih udruženja.
Da li primena ChatGPT ili sličnih alata za internu produktivnost zahteva posebne mere? Korišćenje opšte dostupnih AI alata za internu produktivnost tipično spada u kategoriju minimalnog rizika i ne zahteva posebnu AI Act usklađenost. Međutim, preporučuje se interna politika koja reguliše: koje vrste poverljivih podataka zaposleni smeju koristiti kao ulaz za javne AI servise i kako se tretiraju rezultati AI-generisanog sadržaja koji ulazi u poslovne procese.
Šta je AI Act sandbox i kako može koristiti kompanijama? AI Act predviđa uspostavljanje regulatornih sandboxova — kontrolisanih okruženja u kojima inovativni AI sistemi mogu biti testirani uz direktnu saradnju sa regulatorima i uz privremenu fleksibilnost primene određenih zahteva. Države članice EU u obavezi su da uspostave ovakve sandboxove, pri čemu je tačan rok, prema dostupnim informacijama, predmet tekućih izmena regulatornog okvira. Ovo je posebno vredno za startape i inovativne projekte u fazi razvoja koji žele da testiraju sisteme pre punog tržišnog lansiranja.
Zaključak
Implementacija AI Act-a nije samo regulatorna obaveza — to je i šansa za preduzeća da sistematizuju svoje AI aktivnosti, smanje operativne rizike i izgrade poverenje kod klijenata i partnera. Organizacije koje AI regulativu tretiraju kao strateški menadžment rizika, a ne kao birokratsku prepreku, naći će se u boljem tržišnom položaju. Usklađenost sa AI Act-om, slično GDPR-u, biće u budućnosti ne samo legalna obaveza već i konkurentska diferencijacija i uslov za poslovnu saradnju sa određenim korporativnim partnerima i javnim sektorom.
Za strukturiranu analizu AI sistema u vašem preduzeću, izradu AI compliance programa i dokumentacijske zahteve, zakazite konsultaciju sa našim timom specijalizovanim za regulativu veštačke inteligencije.
Izvori